JP3492865B2 - The mobile computer device and the packet encrypted authentication method - Google Patents

The mobile computer device and the packet encrypted authentication method

Info

Publication number
JP3492865B2
JP3492865B2 JP27355796A JP27355796A JP3492865B2 JP 3492865 B2 JP3492865 B2 JP 3492865B2 JP 27355796 A JP27355796 A JP 27355796A JP 27355796 A JP27355796 A JP 27355796A JP 3492865 B2 JP3492865 B2 JP 3492865B2
Authority
JP
Japan
Prior art keywords
packet
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP27355796A
Other languages
Japanese (ja)
Other versions
JPH10126405A (en
Inventor
淳 井上
利夫 岡本
淳 新保
悦幸 津田
政浩 石山
淳 福本
Original Assignee
株式会社東芝
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社東芝 filed Critical 株式会社東芝
Priority to JP27355796A priority Critical patent/JP3492865B2/en
Publication of JPH10126405A publication Critical patent/JPH10126405A/en
Application granted granted Critical
Publication of JP3492865B2 publication Critical patent/JP3492865B2/en
Anticipated expiration legal-status Critical
Application status is Expired - Fee Related legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices using electronic wallets or electronic money safes involving intelligent token, e.g. electronic purse
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices using electronic wallets or electronic money safes involving intelligent token, e.g. electronic purse
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices using electronic wallets or electronic money safes involving intelligent token, e.g. electronic purse involving authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Description

【発明の詳細な説明】 【0001】 【発明の属する技術分野】本発明は、相互に接続されたネットワーク間を移動して暗号通信を行うことが可能な移動計算機装置及びそのパケット暗号化認証方法に関する。 BACKGROUND OF THE INVENTION [0001] [Technical Field of the Invention The present invention is interconnected mobile computer which can perform cryptographic communication by moving between network devices and the packet encrypted authentication method on. 【0002】 【従来の技術】計算機システムの小型化、低価格化やネットワーク環境の充実に伴って、計算機システムの利用は急速にかつ種々の分野に広く拡大し、また集中型システムから分散型システムへの移行が進んでいる。 [0002] size of the Related Art computer system, along with the improvement of low-cost and network environments, the use of the computer system has expanded rapidly and widely various fields, also distributed system from a centralized system the transition to is progressing. 特に近年では計算機システム自体の進歩、能力向上に加え、コンピュータ・ネットワーク技術の発達・普及により、オフィス内のファイルやプリンタなどの資源共有のみならず、オフィス外、一組織外とのコミュニケーション(電子メール、電子ニュース、ファイルの転送など)が可能になり、これらが広く利用されはじめた。 Particularly in recent years advances in the computer system itself, in addition to the capacity building, the development and spread of computer network technology, not only resources shared, such as files and printers in the office, outside the office, communicating with one outside the organization (e-mail , e-news, such as the transfer of the file) will be possible, these began to be widely used. 特に近年では、世界最大のコンピュータネットワーク「インターネット(Internet)」の利用が普及しており、インターネットと接続し、公開された情報、サービスを利用したり、逆にインターネットを通してアクセスしてくる外部ユーザに対し、情報、サービスを提供することで、新たなコンピュータビジネスが開拓されている。 In particular, in recent years, use of the world's largest computer network "Internet (Internet)" are widespread, connected to the Internet, information that has been published, or to use the service, to external users, who come to access through the Internet to the contrary against, the information and providing services, new computer business has been exploited. また、インターネット利用に関して、新たな技術開発、展開がなされている。 In addition, with regard to Internet use, new technology development, deployment is made. 【0003】また、このようなネットワークの普及に伴い、移動通信(mobile computing)に対する技術開発も行われている。 [0003] With the spread of such networks, it has also been technical developments for mobile communication (mobile computing). 移動通信では、携帯型の端末、計算機を持ったユーザがネットワーク上を移動して通信する。 In mobile communications, portable terminals, users with computers to communicate travels over the network. ときには通信を行いながらネットワーク上の位置を変えていく場合もあり、そのような通信において変化する移動計算機のネットワーク上のアドレスを管理し、正しく通信内容を到達させるための方式が必要である。 Sometimes will change the position on the network while sometimes communicates, manages an address on the network of the mobile computer which changes in such communication is needed is a method for bring the correct communication content. 【0004】また、ネットワークが普及し、ネット間の自由な接続が実現され、膨大なデータ、サービスのやりとりがなされる場合、セキュリティ上の問題を考慮する必要が生じてくる。 [0004] The network is widespread, free connection between nets is implemented, massive data, if the exchange of services is made, need arises to consider security problems. 例えば、組織内部の秘密情報の外部ネットワークへの漏洩をいかに防ぐか、という問題や、 For example, prevent or how the leakage to the organization's internal secret information of the external network, and a problem that,
組織外からの不正な侵入から、組織内ネットワークに接続された資源、情報をいかに守るか、という問題である。 Against unauthorized intrusion from outside the organization, resources connected to the enterprise network, or protect how the information is a problem. インターネットは、当初学術研究を目的に構築されたため、ネットワークの接続による自由なデータサービスのやりとりを重視しており、このようなセキュリティ上の問題は考慮されていなかったが、近年多くの企業、 The Internet, because it was built on the original academic research purposes, attaches great importance to the exchange of free data service by the network of connection, of the problem on such security is not taken into consideration, in recent years a number of companies,
団体がインターネットに接続するようになり、セキュリティ上の問題から自組織ネットワークを防衛する機構が必要となってきた。 Organization is to connect to the Internet, mechanism to defend the self-organization network from a security problem has become a need. 【0005】そこで、インターネット上でデータパケットを交換する際に、外部にデータパケットを送出する前にその内容を暗号化し認証コードをつけ、受信したサイトで認証コードを確認し復号化する、という方法がある。 [0005] Therefore, the method when exchanging data packets over the Internet, with the authentication code by encrypting the content before sending the data packet to the outside, to decrypt verify the authentication code at the receiving sites, that there is. 例えば、インターネットの標準化団体であるIET For example, it is a standards body of the Internet IET
Fにおいては、IPパケットの暗号化、認証コード付与方式をIPセキュリティ標準(文献:IETF RFC In F, encryption of IP packets, IP Security Standard (Document authentication code grant scheme: IETF RFC
1825〜1829)として規定している。 1825 to 1829) is defined as. この方法によれば、たとえ組織外のユーザが外部ネットワーク上のデータパケットを取り出しても、内容が暗号化されているので、決してその内容が漏洩することがなく、安全な通信が確保できる。 According to this method, even outside the organization of the user takes out the data packets on the external network, the contents are encrypted, never be the contents from leaking, secure communication can be ensured. 【0006】このような暗号化通信をサポートするゲートウェイ計算機で守られた(ガードされた)ネットワーク同士であれば相互に暗号化通信が可能であり、また前述の移動計算機が自分でパケットの暗号化、復号を行う機能をサポートしていれば、任意のゲートウェイ間、またはゲートウェイ〜移動計算機間で暗号化通信がサポートできる。 [0006] are possible such guarded by gateway computer that supports encrypted communication (guarded) mutually encrypted communication if the network between, also encrypt packets he aforementioned mobile computer , if it supports the function for decoding, it can be encrypted communication supported between between any gateway or gateway-mobile computer. 例えば、図8では、元々ホームネットワーク1aに属していた移動計算機2が、他のネットワーク1 For example, in FIG. 8, the mobile computation device 2 which belonged to the originally home network 1a, another network 1
bに移動し、ネットワーク1c内の他の計算機(CH) Go to b, other computers in the network 1c (CH)
3との間で、暗号化/復号機能をサポートするゲートウェイ4a,4cを介して暗号通信を行う。 Between 3 and performs encrypted communication via a gateway 4a, 4c that supports encryption / decryption function. 【0007】一般に移動通信を行う場合、移動計算機の移動先データを管理するルータ(ホームエージェント) [0007] Generally in the case of the mobile communication, router to manage the destination data of the mobile computer (home agent)
を置き、移動計算機宛データの送信はそのホームエージェントを経由して、移動計算機の元のアドレス宛のIP The place, the transmission of mobile computer addressed data via its home agent, IP addressed to the original address of the mobile computer
パケットを移動計算機の現在位置アドレス宛パケット内にカプセル化することで移動計算機に対するデータの経路制御を行う。 Controlling routing of data to the mobile computer by encapsulating the current location address within the packet destined for the mobile computer packets. 図8では、ホームエージェント(HA) In Figure 8, the home agent (HA)
5がこの役割を行う。 5 performs this role. この方式は、やはりIETFのm This method, also IETF of m
obile−IPワーキンググループで標準化が進められている移動IPと呼ばれる方式である(文献:IET A method called mobile IP standard is being advanced by T-Mobile-IP Working Group (literature: IET
F internet draft. F internet draft. IP mobi IP mobi
lity support (C.Perkin lity support (C.Perkin
s))。 s)). 【0008】この移動IP方式と、先のIPセキュリティによるデータパケットの暗号化を組み合わせて使用すると、図8におけるパケットの転送経路は、通信相手計算機(CH)3→ゲートウェイ4c(ここではパケットは暗号化される)→ゲートウェイ4a(復号)→ホームエージェント(HA)5→ゲートウェイ4a(再暗号化)→移動計算機2(復号)となる。 [0008] and the Mobile IP scheme, when used in combination with encryption of the data packet by the previous IP security, the transfer path of the packet in Figure 8, the communication partner computer (CH) 3 → gateway 4c (here packet encryption reduction is the) → gateway 4a (decoding) → home agent (HA) 5 → gateway 4a (re-encrypt) → a mobile computer 2 (decoding). 【0009】さて、このような移動IPとIPセキュリティによるパケット暗号化を併用する場合、移動計算機の移動先ネットワークに応じてセキュリティに対するポリシーが変わってくることがある。 [0009] Now, the case of using the packet encrypted by such a mobile IP and IP security, there is to come policy is changed for security in accordance with the movement destination network of the mobile computer. 【0010】例えば、図9において、ネットワーク1b [0010] For example, in FIG. 9, the network 1b
はホームネットワーク1aと同じセキュリティポリシーで運用されているとする。 And it has been operating in the same security policy as the home network 1a. ここで、2つのネットワークのセキュリティポリシーが同じであるとは、各ネットワークのゲートウェイにて、自ネットワーク内の計算機と当該2つのネットワーク外に位置する任意の通信相手との通信に関して、同じパケット暗号化等を行う(あるいはパケット暗号化を行わない)ことである。 Here, the security policy of the two networks are identical, at the gateway of each network, for communication with any communication parties located in the computer and out of the two networks in the local network, the same packet encryption it is to perform (or not perform packet encryption), or the like. 【0011】もし移動計算機2がホームネットワーク1 [0011] If the mobile computer 2 is the home network 1
aと同じセキュリティポリシーを持つネットワーク1b Network 1b with the same security policies and a
に移動した場合、パケット暗号化処理を自装置に付属するパケット暗号化機能で行ってもゲートウェイ4bで行っても、ホームネットワーク1a内から発信した場合と同じものが生成できる。 If you move, also the packet encryption process performed by the gateway 4b be carried out in the packet encryption function that comes with its own device, it generates the same as the case of calling from the home network 1a in. したがってこの場合、移動計算機2内のパケット暗号化機能は動作させず、ゲートウェイ4bでパケット暗号化処理を行う方が制御が容易であり、ネットワーク管理の点からも有効である(図中7参照)。 In this case, therefore, the packet encryption function in the mobile computer 2 does not operate, it is easy to control who performs packet encryption processing at the gateway 4b, it is effective in terms of network management (see in Fig. 7) . 【0012】一方、図9において、ネットワーク1bはホームネットワーク1aとは異なるセキュリティポリシーで運用されているものとする。 Meanwhile, in FIG. 9, the network 1b is assumed to be operated by different security policies from the home network 1a. もし移動計算機2が、 If the mobile computer 2 is,
ホームネットワーク1aとは異なるセキュリティポリシーを持つネットワーク1bに移動した場合、自装置に付属するパケット暗号化機能を使用しないとホームネットワーク1a内から発信した場合と等価な暗号化パケットは生成できない。 If you move to the network 1b having different security policies from the home network 1a, not use a packet encryption function that comes with its own device when calling from the home network 1a equivalent encrypted packet can not be generated. したがってこの場合、ネットワーク1 In this case, therefore, the network 1
b内に移動した移動計算機2をホームネットワーク1a The mobile computer 2 has moved into the b home network 1a
と同じセキュリティポリシーで運用するためには、自装置内のパケット暗号化機能でパケット暗号化処理を行わなくてはならない(図中8参照)。 Same security to operate the policy must be carried out packet encryption processing by packet encryption function in the self-device (see in Fig. 8). 【0013】さらに、図8のように移動先に暗号化処理機能を備えたゲートウェイが存在しない場合には、暗号通信を行うためには、自装置内のパケット暗号化機能でパケット暗号化処理を行うことが必須となる(暗号化処理機能を持たないことも1つのセキュリティポリシーである)。 Furthermore, if the gateway comprises an encryption processing function to the destination as shown in FIG. 8 is not present, in order to perform the cryptographic communication, a packet encryption processing by packet encryption function in the self-device it is essential to carry out (it does not have the encryption processing function is also one of the security policy). 【0014】しかしながら、従来は、移動IPおよびI [0014] However, the prior art, the mobile IP and I
Pセキュリティにもとづく暗号化方式を用い、移動計算機に付属したパケット暗号化装置でパケット暗号化を行う場合、移動計算機の移動箇所を考慮せずに移動計算機に付属したパケット暗号化装置で処理を行うため、処理効率が悪く、また一般に移動計算機はネットワーク管理の処理が繁雑であるため、ネットワーク管理の観点からも効率の悪い処理を必要としていた。 Using an encryption scheme based on P security, performs case, the processing in packet encryption device included in the mobile computer without considering the movement position of the mobile computer to perform the packet encryption with packet encryption device included in the mobile computer Therefore, processing efficiency is poor, and generally to a mobile computer for processing the network management is complicated, in view of network management is also needed a inefficient process. 【0015】 【発明が解決しようとする課題】従来は、移動計算機の移動箇所を考慮せずに移動計算機に付属したパケット暗号化装置で処理を行うため、処理効率が悪く、また一般に移動計算機はネットワーク管理の処理が繁雑であるため、ネットワーク管理の観点からも効率の悪い処理を必要としていた。 [0015] SUMMARY OF THE INVENTION Conventionally, for performing processing in packet encryption device included in the mobile computer without considering the movement position of the mobile computer, processing efficiency is poor, and generally to mobile computer for processing of network management is a complicated, from the point of view of network management was also in need of inefficient processing. 【0016】本発明は、上記事情を考慮してなされたもので、移動計算機の移動先ネットワークのセキュリティーポリシーに応じて移動計算機に付属するパケット暗号化認証装置の動作を制御できる移動計算機装置及びパケット暗号化認証方法を提供することを目的とする。 [0016] The present invention has been made in view of these circumstances, the mobile computing device and the packet can control the operation of the packet encrypted authentication device that comes with the mobile computer in accordance with the security policy of the target network of the mobile computer and to provide an encrypted authentication method. 【0017】 【課題を解決するための手段】本発明(請求項1)は、 [0017] According to an aspect of the present invention (claim 1),
相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機装置であって、自装置に入出力するパケットを暗号化認証処理(例えば、内部から外部に転送されるパケットについて暗号化/認証コード付与、外部から内部に転送されるパケットについて認証コード確認/復号)する、オン・オフ可能なパケット暗号化認証手段と、自装置が現在位置するネットワークに、 A mobile computing device capable of performing communication moves between interconnected network, the own device encrypted authentication process packets input to and output (e.g., encryption for packets forwarded from the inside to the outside reduction / authentication code granted authorization code check / decryption) to the packet transferred from the outside to the inside, and on-off possible packet encryption authentication means, the network to which the own apparatus is currently located,
このネットワークに位置する計算機と他のネットワークに位置する計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するパケット処理装置(例えば、ゲートウェイ)が存在する場合に、このパケット処理装置が持つセキュリティパラメータと、自装置に適したセキュリティパラメータとを比較し、この比較結果に基づいて前記パケット処理装置及び前記パケット暗号化認証手段の少なくとも一方を選択して、暗号化認証処理を行わせる制御手段とを具備したことを特徴とする。 Packet processing device for relaying encrypted authentication process to the basis a packet transferred between the computer located in the computer and other network located to the network at a predetermined security parameter (e.g., gateway) occurs to, and security parameters of this packet processing device compares the security parameters suitable for the self-device, to select at least one of the packet processing apparatus and the packet encrypted authentication means based on the comparison result, cryptographic characterized by comprising a control means for causing the encoded authentication process. 【0018】好ましくは、セキュリティパラメータが一致した場合にはパケット処理装置を選択して暗号化認証処理を行わせるようにし、不一致の場合には自装置のパケット暗号化認証処理手段を選択して暗号化認証処理を行わせるようにしても良い。 [0018] Preferably, if the security parameter is matched by selecting the packet processing device so as to perform the cryptographic authentication process, in the case of disagreement by selecting a packet encrypted authentication processing unit of the apparatus encryption it may be to perform the of the authentication process. 【0019】本発明によれば、移動計算機がホームネットワーク外に移動した際、移動先ネットワークのセキュリティポリシーが自装置に適したセキュリティパラメータであることを判断した場合は、移動計算機に付属するパケット暗号化認証手段の機能をオフにして、移動先ネットワークのパケット処理装置にパケット暗号化認証処理を委ねて、パケット処理効率を高め、また同時にネットワーク管理処理を容易にすることができる。 According to the present invention, when the mobile computer moves outside the home network, if the security policy of the target network determines that the security parameters suitable for its own device, the packet encryption that comes with the mobile computer function to clear the authentication means, entrust the packet processing device to the packet encryption authentication processing of the target network, enhanced packet processing efficiency and can facilitate the network management processing simultaneously. もし、移動先ネットワークのセキュリティポリシーが自装置に適したセキュリティパラメータでないことを判断した場合は、移動計算機に付属するパケット暗号化認証手段をそのまま使用することで、自装置に適したセキュリティパラメータに基づく暗号化認証処理を行うことができる。 If the security policy of the target network determines that it is not a security parameter which is suitable for its own device, that accept the packet encrypted authentication means associated with the mobile computer, based on the security parameters suitable for the own device it is possible to perform the encryption authentication process.
したがって、移動計算機がどのようなネットワークに移動しても自装置に適したセキュリティパラメータに基づく暗号通信を行うことができる。 Therefore, it is possible to perform encryption communication based on security parameters suitable for the own device be moved to any network mobile computer. 【0020】このように本発明によれば、実際の運用に際して、移動計算機がどのようなセキュリティポリシーを持つネットワークに移動したか、というネットワーク運用ポリシーに関する動作規定を考慮することができる。 According to the present invention, it is possible in actual operation, it has moved to a network which the mobile computer has what security policy, taking into account the operating rules for network operation policy of. 【0021】本発明(請求項2)は、請求項1に記載の移動計算機装置において、自装置のホームネットワークに位置する計算機と他のネットワークに位置する計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するホームネットワークのパケット処理装置が持つセキュリティパラメータを、前記自装置に適したセキュリティパラメータとすることを特徴とする。 [0021] The present invention (Claim 2), in the mobile computer device according to claim 1, predetermined packets to be transferred between computers located in computers and other network located in the home network of the device itself security parameters based on the security parameter has a packet processing device of a home network for relaying encrypted authentication process to the a, characterized in that the security parameters suitable for the own apparatus. 【0022】本発明によれば、移動計算機がホームネットワーク外に移動した際、移動先ネットワークのセキュリティポリシーがホームネットワークのセキュリティパラメータと一致することを判断した場合は、移動計算機に付属するパケット暗号化認証手段の機能をオフにして、移動先ネットワークのパケット処理装置にパケット暗号化認証処理を委ねて、パケット処理効率を高め、また同時にネットワーク管理処理を容易にすることができる。 According to the present invention, when the mobile computer moves outside the home network, if the security policy of the target network determines to be consistent with the security parameters of the home network, packet encryption that is included with the mobile computer turn off the function of the authentication means, entrust the packet processing device to the packet encryption authentication processing of the target network, enhanced packet processing efficiency and can facilitate the network management processing simultaneously. もし、両セキュリティポリシーが一致しないことを判断した場合は、移動計算機に付属するパケット暗号化認証手段をそのまま使用することで、ホームネットワークにいた場合と等価な暗号化通信ができる。 If, when it is determined that both security policies do not match, that accept the packet encrypted authentication means associated with the mobile computer, it is the case was in the home network equivalent encrypted communication. したがって、移動計算機がどのようなネットワークに移動してもホームネットワークからパケットを送出した場合と等価な動作を保証することができる。 Therefore, it is possible to move the mobile computer in any network to ensure if the equivalent operation that sent a packet from the home network. 【0023】好ましくは、移動計算機は、自装置の移動先ネットワークのパケット処理装置とホームネットワークのパケット処理装置に夫々問い合わせて前記セキュリティパラメータを取得するようにしても良い。 [0023] Preferably, the mobile computer may be a packet processing device and the home network packet processing apparatus of the target network of the apparatus each query so as to acquire the security parameters. 【0024】また、好ましくは、通信システム内に存在する各パケット処理装置のセキュリティパラメータを記憶するセキュリティパラメータデータベースを備え、移動計算機は、自装置の移動先ネットワークのパケット処理装置の持つセキュリティパラメータとホームネットワークのパケット処理装置の持つセキュリティパラメータとを前記セキュリティパラメータデータベースに問い合わせて取得するようにしても良い。 Further, preferably, it includes a security parameter database for storing security parameters of each packet processing device present in the communication system, the mobile computer, security parameters and home with the packet processing unit of the target network of the apparatus and security parameters of the packet processing device of a network may be acquired by querying the security parameter database. 【0025】また、好ましくは、移動計算機は、ホームネットワークのパケット処理装置が持つセキュリティパラメータを自装置内部に保持するようにしても良い。 Further, preferably, the mobile computer, the security parameters of the packet processing device of the home network may be held within its own device. この場合、ホームネットワークのパケット処理装置やセキュリティパラメータデータベースへの問い合わせは不要となる。 In this case, the inquiry to the home network of the packet processing device and the security parameter database is unnecessary. 【0026】本発明(請求項3)は、相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機装置であって、自装置に入出力するパケットを暗号化認証処理する、オン・オフ可能なパケット暗号化認証手段と、自装置が現在位置するネットワークに、このネットワークに位置する計算機と他のネットワークに位置する計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するパケット処理装置が存在する場合に、自装置のパケット転送速度を監視し、この監視結果に基づいて前記パケット処理装置及び前記パケット暗号化認証手段の少なくとも一方を選択して、暗号化認証処理を行わせる制御手段とを具備したことを特徴とする。 [0026] The present invention (claim 3) is a mobile computing device capable of performing communication moves between interconnected networks, encrypt authentication packets for input to the own device the on-off possible packet encryption authentication means, the network to which the own apparatus is currently located, a predetermined security parameter a packet transferred between the computer located in the computer and other network located to the network when the packet processing device for relaying encrypted authentication process to the basis is present, monitoring the packet transfer speed of the host device, at least of the packet processing apparatus and the packet encryption Ka認Akashite stage on the basis of the monitoring result select one, characterized by comprising a control means for causing the encrypted authentication process. 【0027】好ましくは、移動計算機は、移動先ネットワークにおいてまず自装置のパケット暗号化認証手段を使用して暗号化認証処理を行い、その後、転送速度が所定の基準値(基準値1と呼ぶ)以下ならパケット処理装置に暗号化認証処理を委ねるようにしても良い。 [0027] Preferably, the mobile computer performs cryptographic authentication process using the packet encrypted authentication means first own device in the target network, then the transfer rate (referred to as a reference value 1) a predetermined reference value may be entrusted encryption authentication processing to the packet processing unit if less. 【0028】本発明では、移動計算機自身の転送スループットを動的にモニタし、スループットが一定値以下になった場合には、スループット低下の原因となる暗号化認証機能をオフにすることで、移動環境であっても一定以上の動作状態を保証できるように移動計算機を制御できる。 [0028] In the present invention, dynamically monitors the transfer throughput of the mobile computer itself, if the throughput is below a predetermined value, by turning off encryption authentication function which causes throughput reduction, movement a environment can control the mobile computer so as to guarantee a certain level of operating conditions also. 【0029】さらに好ましくは、転送速度が所定の基準値(基準値2と呼ぶ)以上に戻ったら自装置のパケット暗号化認証手段を使用するように再度設定変更しても良い。 [0029] More preferably, the transfer rate may be set and changed again to use a packet encrypted authentication means of the apparatus When returned to or greater than a predetermined reference value (referred to as a reference value 2). なお、基準値2は基準値1と同じ値でも良いが、より好ましくは、パケット処理装置と暗号化認証手段との切替の頻発を避けるため、基準値2は基準値1より大きい値でも良い。 The reference value 2 may be the same value as the reference value 1, but more preferably, to avoid frequent switching between the packet processing apparatus and cryptographic authentication means, the reference value 2 may be a reference value greater than 1. 【0030】本発明(請求項4)は、請求項1または3 [0030] The present invention (claim 4), according to claim 1 or 3
に記載の移動計算機装置において、自装置がホームネットワーク外に位置することを認識する第1の認識手段と、自装置が現在位置するネットワークに自装置を暗号化認証処理の対象とし得るパケット処理装置が存在することを認識する第2の認識手段とをさらに具備し、これら第1及び第2の認識手段により自装置がホームネットワーク外に位置しかつ自装置が位置するネットワークに前記パケット処理装置が存在することが認識された場合に前記制御手段を動作させることを特徴とする。 Moving in a computer device, the device itself home and first recognizing means for recognizing that located outside the network, the packet processing device capable of the self apparatus to the network to which the own apparatus is currently located and for encryption authentication processing according to the second further comprising a recognizing means for recognizing that but present, the own device is located outside the home network and the device itself the packet processing device to a network that position by the first and second recognition means and wherein the operating the control means when the present has been recognized. 【0031】本発明(請求項5)は、相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機装置であって、自装置に入出力するパケットを暗号化認証処理する、オン・オフ可能なパケット暗号化認証手段と、自装置が現在位置するネットワークに、このネットワークに位置する計算機と他のネットワークに位置する計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するパケット処理装置が存在する場合に、外部から入力された特定のコマンド(マニュアルコマンドも、リモートコマンドも含む)に基づいて前記パケット処理装置及び前記パケット暗号化認証手段の少なくとも一方を選択して、暗号化認証処理を行わせる制御手段とを具備したことを特徴とする [0031] The present invention (claim 5) is a mobile computing device capable of performing communication moves between interconnected networks, encrypt authentication packets for input to the own device the on-off possible packet encryption authentication means, the network to which the own apparatus is currently located, a predetermined security parameter a packet transferred between the computer located in the computer and other network located to the network when the packet processing device for relaying encrypted authentication process to the basis is present, the specific command input from the outside the packet processing unit and the packet encryption Ka認 based on (also manual command, the remote command including) select at least one of Akashite stage, characterized by comprising a control means for causing the encrypted authentication process 【0032】好ましくは、特定のコマンドに応答して自装置のパケット暗号化認証手段が動作しないようにしても良い。 [0032] Preferably, the packet encrypted authentication means of the apparatus in response to a specific command may not work. 本発明によれば、管理者がマニュアル動作で移動計算機のパケット暗号化認証手段の動作制御を行うことができる。 According to the present invention, the administrator can perform operation control of the packet encrypted authentication means of the mobile computer manually operating. 【0033】 本発明(請求項6)は、相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機装置のパケット暗号化認証方法であって、前記移動計算機装置が現在位置するネットワークに、このネットワークに位置する或る第1の計算機と他のネットワークに位置する或る第2の計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するパケット処理装置が存在する場合に、前記移動計算機装置が前記或る第1の計算機となるときは、このパケット処理装置が持つセキュリティパラメータと、前記移動計算機装置に適したセキュリティパラメータとを比較し、この比較結果に基づいて、前記移動計算機装置に付属する入出力パケットを暗号化認証処理するパケット暗 [0033] The present invention (claim 6) is a packet encryption authentication method for a mobile computing device capable of performing communication moves between interconnected networks, the mobile computing device is currently located the network, encrypts the authentication processing based on the packet transferred to the predetermined security parameters between a certain second computer located at a certain first computer and other network located to the network compared with the case where the packet processing device for relaying is present, the when the mobile computing device is the one first computer, and security parameters of this packet processing device, and a security parameters suitable for the mobile computer device and, based on the comparison result, the input and output packet that comes with the mobile computer device darkness packet processing encrypted authentication 号化認証手段及び前記パケット処理装置の少なくとも一方を選択して、暗号化認証処理を行わせることを特徴とする。 No. of authentication means and select at least one of the packet processing device, characterized in that to perform the encryption authentication process. 好ましくは、前記セキュリティパラメータの比較結果が一致である場合に前記パケット暗号化認証手段をオフにして前記パケット処理装置に前記暗号化認証処理を行わせ、不一致である場合に前記パケット暗号化認証手段をオンにして前記暗号化認証処理を行わせるようにしてもよい。 Preferably, the comparison result of the security parameters to the packet encrypted authentication unit off when a match to perform the encrypted authentication processing in the packet processing device, wherein the packet encrypted authentication means when a mismatch the turn on may be to perform the encrypted authentication process. 【0034】なお、以上の各装置に係る発明は、方法に係る説明としても成立する。 [0034] Incidentally, the invention according to the apparatus described above is also satisfied as described according to the method. また、上記の発明は、相当する手順あるいは手段をコンピュータに実行させるためのプログラムを記録した機械読取り可能な媒体としても成立する。 Further, the invention does also established as a machine-readable medium recording a program for executing the corresponding steps or means to the computer. 【0035】 【発明の実施の形態】以下、図面を参照しながら発明の実施の形態を説明する。 [0035] PREFERRED EMBODIMENTS Hereinafter, an embodiment of the invention with reference to the drawings. 図1に、本実施形態に係る通信システムの基本構成の一例を示す。 Figure 1 shows an example of a basic configuration of a communication system according to this embodiment. 図1の通信システムは、前述した図8や図9と同様の基本構成を有するものである。 Communication system of FIG. 1 are those having the same basic configuration as FIG. 8 and FIG. 9 described above. すなわち、前述した移動IPやIPセキュリティ標準などにより、移動計算機と暗号通信をサポートしているものとする。 That is, it is assumed that due to Mobile IP and IP security standards described above, supports the mobile computer and cryptographic communication. 【0036】図1では、ホームネットワーク1aには、 [0036] In Figure 1, the home network 1a,
移動計算機の移動先の現在位置の情報を管理するホームエージェント5が設けられる。 The home agent 5 is provided for managing information of the current position of the destination mobile computer. 管理対象とする移動計算機の台数は任意である。 The number of mobile computer to be managed is optional. 前述したように、移動中の移動計算機2宛に転送されてきたIPパケットは、そのホームエージェント5を経由し、移動計算機2の元のアドレス(ホームネットワーク1aにおけるアドレス)宛のI As described above, IP packet that has been transferred to the mobile addressed computer 2 in movement, via the home agent 5, the original address of the mobile computer 2 (address in a home network 1a) destined for I
Pパケットを移動計算機の現時位置アドレス宛パケット内にカプセル化することで、移動計算機2に対するデータの経路制御を行うことができる。 By encapsulating the present time position address within destined packet mobile computer the P packets, it is possible to perform routing of data to the mobile computer 2. 【0037】ネットワーク1a,1bには、ゲートウェイ4a,4bがそれぞれ設けられる。 The network 1a, the 1b, gateways 4a, 4b are provided, respectively. 本実施形態では、 In this embodiment,
ゲートウェイが暗号化認証処理機能を備えているものとする。 Gateway shall have a cryptographic authentication process function. なお、通信データの暗号化は、例えば、文献(I Note that the encryption of communication data, for example, the literature (I
ETF RFC1825,1827)に示される方式で実現でき、認証コードの付与は、文献(IETF RF Can be realized in a manner shown in ETF RFC1825,1827), application of authorization codes, literature (IETF RF
C1825,1826)に示される方式で実現できる。 Can be realized in a manner shown in C1825,1826). 【0038】本実施形態では、移動計算機2は、自装置を管理するホームエージェント5の設置されたネットワーク(ホームネットワーク)1a外に位置することを認識する位置認識部(図示せず)を持つ。 [0038] In this embodiment, the mobile computer 2 has an installation network of the home agent 5 for managing the own apparatus position recognition section recognizes that positioned outside (the home network) 1a (not shown). 位置認識部は、 Position recognition unit,
例えば、ホームエージェント5が定期的に発信する広告メッセージを受信できるか否かをもとに、自装置がホームネットワーク内にいるかどうかを判定する。 For example, it is determined whether the home agent 5 on the basis of whether it can receive the advertisement message originating periodically, the own apparatus is in the home network. 【0039】また、移動計算機2は、自装置を処理対象とするゲートウェイ(あるいはそれが存在しないこと) Further, the mobile computer 2 (it or it does not exist) gateway that processed the self apparatus
を認識するゲートウェイ認識部(図示せず)を持つ。 With recognizing gateway recognition unit (not shown). 例えば、通信システム内のいずれかの場所(分散していても良い)に、各ゲートウェイがどの計算機に対するパケットを処理対象とするかを示す情報のデータベース(具体例としては各ゲートウェイのネットワークアドレスと、その処理対象となる計算機群のネットワークアドレスの対応情報)を管理するサーバ装置を設置し、移動計算機が該データベースを検索することにより実現できる。 For example, in one location in the communication system (may be dispersed), a network address of each gateway as a database (specific examples of the information indicating whether the processed packets to each gateway any computer, set up a server device that manages the correspondence information) of the network address of the computer group to be the processing target can be realized by the mobile computer searches the database. なお、ゲートウェイとは別に暗号化認証処理機能を備えたパケット暗号化認証装置が設けられる場合には、 In the case where the packet encrypted authentication device provided with a separate encryption authentication processing function and the gateway is provided,
ゲートウェイ認識部は、パケット暗号化認証装置認識部となる。 Gateway recognition unit, a packet encryption authentication device recognition unit. 【0040】また、移動計算機2は、後述する暗号化認証処理機能がオン・オフ可能なパケット暗号化認証部1 Further, the mobile computer 2 encrypts the authentication will be described later processing functions on and off possible packet encryption authentication section 1
0を持つ(図2)。 With a 0 (Fig. 2). まず、図1の通信ネットワークにおいて、ホームネットワーク1aに属する移動計算機2 First, in the communication network of FIG. 1, the mobile computer belonging to the home network 1a 2
が、他部署ネットワーク1bに移動した場合の処理手順の一例について説明する。 There, an example of a processing procedure when moving to another department network 1b. 【0041】(1)移動計算機2は、位置認識部により、自装置がホームネットワーク1a内に位置するかホームネットワーク外に位置するかを判断する。 [0041] (1) the mobile computer 2, the position recognizing section determines whether the information processing apparatus 100 is located outside or the home network is located in the home network 1a. ホームネットワーク外に移動したと判断された場合には、移動計算機2は、移動先のネットワーク(ここでは1b)において、例えばDHCPやPPPなどのプロトコルにより移動先ネットワークで使用するアドレスを獲得する。 If it is determined to have moved out of the home network, the mobile computer 2, in the destination network (here 1b), for example, to acquire the address used by the target network by a protocol such as DHCP or PPP. 【0042】アドレスを獲得したら、移動計算機2は、 [0042] Once obtain the address, mobile computer 2,
ホームネットワーク1aのホームエージェント5に現在位置の情報を含む登録メッセージを送信する。 Sending a registration message containing current location information to the home agent 5 of the home network 1a. 移動計算機2のホームネットワーク1aのホームエージェント5 The home agent 5 of the mobile computer 2 home network 1a
の管理表には、移動計算機2の全ネットワーク中における位置を一意に特定可能な情報が登録される(この時点で、ホームエージェント5は、移動計算機2がホームネットワーク1a外に移動したことを認識する)。 The management table, recognizes that uniquely identifiable information is registered (this point the position in the whole network in the mobile computer 2, the home agent 5, the mobile computer 2 moves out of the home network 1a to). 【0043】また、移動先ネットワーク1bでは、ゲートウェイ4aの管理表に、インターネット6側からその移動計算機2宛に転送されてきたパケットをホームエージェント5に転送するように設定がなされる。 [0043] Also, in the target network 1b, the management table of the gateway 4a, configured to forward the packet transferred from the Internet 6 side to the mobile addressed computer 2 to the home agent 5 is made. 【0044】これによって、インターネット6から移動計算機2のホームネットワーク1aに転送されてきた移動計算機2宛のパケットは、一旦ホームエージェント5 [0044] Thus, the packet of the mobile addressed computer 2 that has been transferred to the home network 1a of the mobile computer 2 from the Internet 6, once the home agent 5
に渡され、ここから、移動計算機2の移動先に宛てて転送される。 Passed to, from here, it is transferred addressed to the destination mobile computer 2. その際、ホームエージェント5にて、例えば、前述したように、移動計算機2の元のアドレス(ホームネットワーク1aにおけるアドレス)宛のIPパケットを移動計算機の現在位置アドレス宛パケット内にカプセル化する処理が行われる。 At that time, at the home agent 5, for example, as described above, the process of encapsulating the current location address within the packet destined for the mobile computer 2 of the original address (home address in a network 1a) the mobile computer an IP packet addressed to the It takes place. 【0045】(2)また、移動先のネットワーク1bでは、ゲートウェイ4bの管理表に移動計算機2が登録される。 Further (2), the destination network 1b, mobile computer 2 in the management table of the gateway 4b is registered. その際、属性として、移動計算機であること、当該ゲートウェイ4bの暗号化認証処理の対象でないことが登録される。 At that time, as an attribute, it is a mobile computer, it is not a subject of encryption authentication processing of the gateway 4b is registered. 【0046】これによって、インターネット6からゲートウェイ4bに転送されてきたパケットは、暗号化認証処理(復号および認証コードのチェック)せずに移動計算機2に渡される。 [0046] Thus, the packet transferred from the Internet 6 to the gateway 4b is passed to the mobile computer 2 without encryption authentication processing (check decoding and authentication code). また、移動計算機2からゲートウェイ4bに転送されてきたパケットは、暗号化認証処理せずにインターネット6に送り出される。 The packet transferred from the mobile computer 2 to the gateway 4b is fed to the Internet 6 without encryption authentication process. 【0047】さて本実施形態では上記の(2)の処理の後にあるいは上記の(2)の処理に先だって、移動先のネットワークにパケット処理装置が存在する場合にそのパケット処理装置が持つセキュリティパラメータと自装置に適したセキュリティパラメータとを比較し、この比較結果に基づいてゲートウェイまたは自装置に付属するパケット暗号化認証部を選択しパケットの暗号化認証処理を行わせる制御を行う。 [0047] Now prior to processing in the embodiment of the above (2) process after the or the above (2), and security parameters of the packet processing device when the packet processing device is present in the destination network comparing the security parameters suitable for the own device performs the selected control to perform encryption authentication processing of the packet to the packet encrypted authentication unit that is included with the gateway or the own device based on the comparison result. なお、本実施形態では、自装置に適したセキュリティパラメータは、自装置のホームネットワークのセキュリティパラメータと同一のものとする。 In the present embodiment, the security parameters suitable for its own device, and the same as the security parameters of the apparatus of the home network. 【0048】概略的には、以下のような手順で処理が行われる。 [0048] Schematically, the procedure in the following processing is performed. 移動計算機2は、位置認識部により自装置がホームネットワーク1aの外に位置することを認識し、かつゲートウェイ認識部(あるいはパケット暗号化認証装置認識部)により自装置を処理対象とするゲートウェイ(あるいはパケット暗号化認証装置)を認識した場合、 The mobile computer 2, the gateway where the own apparatus by the position recognition section recognizes that located outside the home network 1a, and the own device and processed by the gateway recognition unit (or packet encrypted authentication device recognition unit) (or when recognizing a packet encrypted authentication device),
ホームネットワーク1aのゲートウェイ4aのセキュリティーパラメータと、移動先ネットワーク2bのゲートウェイ4bのセキュリティーパラメータとを取得する。 Acquires the security parameters of the gateway 4a of the home network 1a, a security parameter gateway 4b of the target network 2b. 【0049】ここで、図2に、計算機2のホームネットワーク1aのゲートウェイ4a(GW0とする)の各ゲートウェイGW1,GW2,GW3,GW4,…に対するセキュリティパラメータの一例を示す。 [0049] Here, FIG. 2 shows an example of a security parameter of the computer 2 the home network 1a (and gw0) gateway 4a of each gateway GW1, GW 2, GW 3, GW 4, for .... 同様に、移動先ネットワーク1bのゲートウェイ4b(GW1とする)については、各ゲートウェイGW0,GW2,GW Similarly, for a gateway 4b of the target network 1b (the GW1), each gateway gw0, GW 2, GW
3,GW4,…に対するセキュリティパラメータが設定される。 3, GW4, security parameters are set for .... 【0050】移動計算機2は、両者のセキュリティパラメータを比較し、移動先ネットワーク1b及びホームネットワーク1aに対する部分を除いて同一であれば、自装置のパケット暗号化認証部10をオフにするとともに、移動先ネットワーク1bのゲートウェイ4bの管理表の移動計算機2の属性を、暗号化認証処理の対象であるものに変更してもらうよう要求を出す(この処理を上記の(2)の処理に先だって行う場合、ゲートウェイ4 The mobile computer 2 compares the security parameters of the two, if identical except for the portion for the target network 1b and home networks 1a, as well as clear the packet encryption authentication section 10 of the apparatus, moving the attributes of the mobile computer 2 of management table of the gateway 4b of previous network 1b, issues a request to have them changed to a cryptographic authentication process target (when the processing is performed prior to the process of (2) , gateway 4
bの管理表に移動計算機2を、その属性を移動計算機であること、暗号化認証処理の対象であることとして登録してもらうよう要求を出す。 b The mobile computer 2 in the management table of it is the mobile computer that attribute, issues a request to get registered as it is encrypted authentication processing target. この場合、上記の(2)の処理は行われない)。 In this case, the processing of (2) above is not performed). 【0051】これによって、インターネット6からゲートウェイ4bに転送されてきたパケットは、暗号化認証処理(復号および認証コードのチェック)された後にその移動計算機2に渡される。 [0051] Thus, the packet transferred from the Internet 6 to the gateway 4b, the passed to the mobile computer 2 after being encrypted authentication processing (check decoding and authentication code). また、その移動計算機2からゲートウェイ4bに転送されてきたパケットは、暗号化認証処理された後にインターネット6に送り出される。 The packet transferred from the mobile computer 2 to the gateway 4b is fed to the Internet 6 after being encrypted authentication process. 【0052】次に、図3に、本実施形態において移動計算機に付属するパケット暗号化認証部10の一構成例を示す。 Next, FIG. 3 shows a configuration example of a packet encryption authentication section 10 that is included with the mobile computer in the present embodiment. 本パケット暗号化認証部10は、パケット暗号化部11、パケット認証部12、パラメータ保持メモリ1 This packet encryption authentication section 10, the packet encryption unit 11, the packet authentication part 12, the parameter holding memory 1
3、パラメータ比較部14、コマンド生成部15、制御部18を備えている。 3, parameter comparator 14, command generator 15, a control unit 18. 【0053】パケット暗号化部11、パケット認証部1 [0053] packet encryption unit 11, packet authentication unit 1
2は、送信するパケットに対する暗号化/認証コードの付加や、受信したパケットに対する認証コードの確認/ 2, addition and encryption / authentication code for a packet to be transmitted, confirmation of the authentication code for the received packet /
復号を行い、所定の暗号化パケットや復号パケットを生成するモジュールである。 It decodes a module for generating a predetermined encryption packets and decoding the packet. 【0054】パラメータ保持メモリ13には、当該移動計算機2が暗号化認証処理を行う場合に必要となる、各通信相手との暗号化、認証に使用するセキュリティパラメータが保持される。 [0054] in the parameter holding memory 13 is required when the mobile computer 2 performs cryptographic authentication process, encryption with each communication partner, security parameters to be used for authentication is retained. セキュリティパラメータとしては、暗号化、認証アルゴリズム、鍵情報などが含まれる。 The security parameters, encryption, authentication algorithm, and the like key information. 【0055】パラメータ比較部14は、複数のパラメータ情報を比較し、両者が一致するか否かを判定するモジュールである。 [0055] parameter comparator 14 compares a plurality of parameter information, a module for determining whether they match. コマンド生成部15は、外部モジュールに対するコマンド要求を生成するモジュールである。 Command generating unit 15 is a module for generating a command request to the external module. 例えば、ホームネットワークのゲートウェイと移動先ネットワークのゲートウェイに対するセキュリティパラメータ送信要求コマンドを生成するのに使用する。 For example, it used to generate a security parameter transmission request command to the gateway for the destination network of the home network. 【0056】制御部18は、パラメータ比較部14からの制御信号をもとに、パケット暗号化部11、パケット認証部12の機能のオン、オフ制御を行うモジュールである。 [0056] The control unit 18 based on the control signal from the parameter comparator 14, packet encryption unit 11, on the function of the packet authentication part 12, a module that performs OFF control. 【0057】図1に示すように、移動先ネットワーク1 [0057] As shown in FIG. 1, the target network 1
b内の移動計算機2に付属するパケット暗号化認証部1 Packet encrypted authentication unit 1 that is included with the mobile computer 2 in b
0は、コマンド生成部15でホームネットワーク1aのゲートウェイ4aと移動先ネットワーク1bのゲートウェイ4bに対するセキュリティパラメータ送信要求コマンドを生成し、送出する。 0 generates a security parameter transmission request command to the gateway 4b gateway 4a and the destination network 1b in the home network 1a in the command generating unit 15, and sends. 各要求先からセキュリティパラメータを含む応答を受信すると、これらをパラメータ比較部14で比較する。 Upon receiving a response including the security parameters from the request destination, comparing these with parameter comparator 14. パラメータ比較部14は、両者が一致する場合は、制御部18にパケット暗号化部1 Parameter comparator 14, if they match, the control unit 18 to the packet encryption unit 1
1、パケット認証部12の機能をオフにするように、両者が異なる場合はパケット暗号化部11、パケット認証部12の機能をオンにする旨の制御信号を送り、所定の動作制御を行う。 1, so as to turn off the function of the packet authentication part 12, if they are different sends a control signal indicating a packet encryption unit 11, the function of the packet authentication part 12 to turn on, performs a predetermined operation control. 【0058】ところで、上記では、コマンド生成部15 [0058] By the way, in the above, the command generating unit 15
で生成した要求コマンドにより、直接両ゲートウェイからセキュリティパラメータを取得したが、図4に示すように、各ゲートウェイとそのセキュリティパラメータの対応をデータベースとして管理するセキュリティパラメータデータベース42を通信システム内に独立して設けても良い。 The in request command generated, but acquires security parameters directly from both the gateway, as shown in FIG. 4, independently of the security parameter database 42 which each gateway and manages the correspondence of the security parameters as a database in the communication system it may be provided. 【0059】この場合、移動計算機2内のパケット暗号化認証部10は、セキュリティパラメータデータベース42をアクセスし、ホームネットワーク1aおよび移動先ネットワーク1bのゲートウェイ4a,4bのセキュリティパラメータ情報を受け取る。 [0059] In this case, packet encryption authentication section 10 in the mobile computer 2 accesses the security parameter database 42 receives a gateway 4a, 4b security parameter information of the home network 1a and the destination network 1b. この情報を受信すると、これらをパラメータ比較部14で比較する。 Upon receiving this information, comparing these with parameter comparator 14. パラメータ比較部14は、両者が一致する場合は、制御部18 Parameter comparator 14, if they match, the control unit 18
にパケット暗号化部11、パケット認証部12の機能をオフにするように、両者が異なる場合はパケット暗号化部11、パケット認証部12の機能をオンにする旨の制御信号を送り、所定の動作制御を行う。 The packet encryption unit 11, to turn off the function of the packet authentication part 12, if they are different sends a control signal indicating a packet encryption unit 11, the function of the packet authentication part 12 is turned on, a predetermined It controls the operation. 【0060】また、移動計算機2は、ホームネットワーク1aのゲートウェイ4aが持つセキュリティパラメータを自装置内部に保持して移動するようにしても良い。 [0060] Further, the mobile computer 2, the security parameters of the gateway 4a of the home network 1a may be moved held inside its own apparatus.
この場合、ホームネットワーク1aのゲートウェイ4a Gateway 4a in this case, the home network 1a
やセキュリティパラメータデータベース42への問い合わせは不要となる。 And an inquiry to the security parameter database 42 is not required. 【0061】以上のように本実施形態では、移動計算機の位置情報を検出し、移動先ネットワークのセキュリティポリシーが自分のホームネットワークのセキュリティポリシーと同じであることを判断した場合は、移動計算機に付属するパケット暗号化認証部10をオフにして、 [0061] In this embodiment as described above, detects the positional information of the mobile computer, if the security policy of the target network determines to be the same as his home network security policy, included with the mobile computer the packet encryption authentication section 10 which turn off,
移動先ネットワークのゲートウェイにパケット暗号化認証処理を委ねて、パケット処理効率を高め、また同時にネットワーク管理処理を容易にすることができる。 The gateway of the target network entrust the packet encrypted authentication process, increasing the packet processing efficiency and can facilitate the network management processing simultaneously. もし、移動先ネットワークのセキュリティポリシーがホームネットワークのポリシーと異なる場合は、移動計算機に付属するパケット暗号化認証部をそのまま使用することで、ホームネットワークにいた場合と等価な暗号化通信ができる。 If the security policy of the target network is different from the home network policy, that accept the packet encrypted authentication unit that is included with the mobile computer, it is the case was in the home network equivalent encrypted communication. したがって、移動計算機がどのよなネットワークに移動してもホームネットワークからパケットを送出した場合と等価な動作を保証できる。 Thus it can be guaranteed if the equivalent operation of the mobile computer has sent a packet from the home network be moved to any Yo networks. 【0062】次に、図5に、移動計算機2に付属するパケット暗号化認証部10の他の構成例を示す。 Next, FIG. 5 shows another configuration example of a packet encryption authentication section 10 that is included with the mobile computer 2. 本パケット暗号化認証部10は、図3のパケット暗号化認証部1 This packet encryption authentication section 10, a packet encrypted authentication unit 1 of FIG. 3
0に、ユーザコマンド処理部16および/またはリモートコマンド処理部17を付加したものである。 0, is obtained by adding a user command processing unit 16 and / or the remote command processing unit 17. 【0063】ユーザコマンド処理部16は、システム管理者が直接移動計算機2に入力するパケット暗号化認証部10を制御するためのコマンドを処理するモジュールである。 [0063] The user command processing unit 16 is a module for processing a command for controlling the packet encryption authentication section 10 of the system administrator enters directly into the mobile computer 2. 【0064】リモートコマンド処理部17は、外部モジュールから送信されるパケット暗号化認証部10を制御するためのリモートコマンドを処理するモジュールである。 [0064] remote command processing unit 17 is a module that handles remote commands to control the packet encrypted authentication unit 10 transmitted from the external module. また、本実施形態では、制御部18は、パラメータ比較部14、ユーザコマンド処理部16、リモートコマンド処理部17からの制御信号をもとに、パケット暗号化部11、パケット認証部12の機能のオン、オフ制御を行う。 Further, in the present embodiment, the control unit 18, parameter comparator 14, the user command processor 16, based on the control signal from the remote command processing unit 17, packet encryption unit 11, the function of the packet authentication part 12 on and off control is carried out. 【0065】一般の運用、保守のシステムに管理者がマニュアル動作で移動計算機2のパケット暗号化認証部1 [0065] In general operation, the mobile computer 2 of the packet encryption authentication unit 1 in the administrator manual operation of the maintenance system of
0を制御したい場合もある。 If you want to control, which can be zero. この場合は、ユーザコマンド処理部16に所定の制御コマンドを入力したり、図6 In this case, to input a predetermined control command to the user command processor 16, FIG. 6
のように通信システム内に置かれた外部管理モジュール43から送出するリモートコマンドをリモートコマンド処理部17で処理し、その結果の制御信号を制御部18 Remote command to be sent from the external management module 43 placed in the communication system as treated with the remote command processing unit 17, the control unit 18 a control signal of a result
に入力して、パケット暗号化認証部10の動作制御を行うことができる。 Type, it is possible to perform the operation control of the packet encryption authentication section 10. 【0066】例えば、移動計算機2に付属のパケット暗号化認証部10により暗号化認証処理する設定になっているときに、移動計算機2に対してユーザコマンドもしくはリモートコマンドにより自装置のパケット暗号化部11、パケット認証部12の機能をオフする指示が与えられた場合、前述したホームネットワーク1aと移動先ネットワーク1bとでセキュリティパラメータが一致した場合と同様の操作が行われ、暗号化認証処理が移動先ネットワーク1bのゲートウェイ4bに委ねられる。 [0066] For example, when it is configured to encrypt the authentication process by packet encryption authentication section 10 supplied with the mobile computer 2, the device itself packet encryption unit by a user command or a remote command to the mobile computer 2 11, when an instruction for turning off the function of the packet authentication part 12 is given a similar procedure to security parameters match with the destination network 1b home network 1a as described above is performed, the encryption authentication processing moves It is left to the gateway 4b ahead network 1b. 【0067】またその反対に、移動先ネットワーク1b [0067] Also vice versa, the destination network 1b
のゲートウェイ4bに暗号化認証処理を行ってもらう設定になっているときに、移動計算機2に対してユーザコマンドもしくはリモートコマンドにより自装置のパケット暗号化部11、パケット認証部12の機能をオンする指示が与えられた場合、前述したホームネットワーク1 Turned on, the mobile computer 2 packet encryption unit 11 of the apparatus by a user command or a remote command to the function of packet authentication portion 12 when the gateway 4b it is configured to get performing encryption authentication when the instruction is given, the home network 1 described above
aと移動先ネットワーク1bとでセキュリティパラメータが一致しなかった場合と同様の操作を行い、移動計算機2に付属のパケット暗号化認証部10により暗号化認証処理する設定に変更するようにしても良い。 The same procedure to that security parameters and a and the target network 1b do not match, may be changed to the setting for encrypting the authentication process by packet encryption authentication section 10 supplied with the mobile computer 2 . 【0068】なお、上記とは別に、移動計算機2に付属するパケット暗号化部11、パケット認証部12の機能をオフにして(暗号化認証処理を移動先ネットワーク1 [0068] Incidentally, the above separately, the mobile computer 2 packet encryption unit 11 that is included with, turn off the function of the packet authentication part 12 (the visited network 1 encryption authentication
bのゲートウェイ4bに委ねることもせずに)、暗号化認証処理自体を伴わない通信に切り換えることを指示するためのコマンドを設けても良い。 b without also be left to the gateway 4b of), it may be provided a command for instructing to switch to communication without encryption authentication process itself. 【0069】次に、移動計算機2に付属するパケット暗号化認証部10のさらに他の構成例について説明する。 Next, still another example of the configuration of a packet encryption authentication section 10 that is included with the mobile computer 2 will be described.
上記した例では、移動計算機の移動先ネットワークのセキュリティポリシーがホームネットワークのセキュリティーポリシーと同じである場合は、移動計算機に付属するパケット暗号化認証部をオフにして、移動先ネットワークのゲートウェイにパケット暗号化認証処理を委ねるものであったが、本実施形態では、セキュリティポリシーが同一か否かにかかわらず、移動計算機のデータ転送スループットが基準値以下になった場合に、移動計算機からパケット暗号化認証処理に要する負荷を軽減するために、移動先ネットワークのゲートウェイにパケット暗号化認証処理を委ねるものである。 In the above example, if the security policy of the target network of the mobile computer is the same as the security policy of the home network is to clear the packet encrypted authentication unit that is included with the mobile computer, the packet encryption gateway of the target network of authentication the processing were those delegate, in the present embodiment, irrespective security policy on whether identical or not, when the data transfer throughput of the mobile computer is equal to or less than the reference value, the mobile computer packet encrypted authentication from to reduce the load required for the processing, in which entrust gateway packet encryption authentication processing of the target network. 【0070】図7に、そのような場合における、移動計算機2に付属するパケット暗号化認証部10の構成例を示す。 [0070] Figure 7, in such a case, a configuration example of a packet encryption authentication section 10 that is included with the mobile computer 2. 本パケット暗号化認証部10は、パケット暗号化部51、パケット認証部52、スループットモニタ5 This packet encryption authentication section 10, the packet encryption unit 51, the packet authentication part 52, the throughput monitor 5
3、スループット指定レジスタ54、スループット比較部55、制御部58を備えている。 3, the throughput specified register 54, the throughput comparator 55, and a control unit 58. 【0071】スループットモニタ53は、移動計算機2 [0071] Throughput monitor 53, the mobile computer 2
のデータ転送スループットを動的にモニタするモジュールであり、スループット指定レジスタ54は、ユーザが許容する最小スループット値をセットするレジスタである。 A module for monitoring the data transfer throughput dynamically, throughput designation register 54 is a register for setting the minimum throughput value that the user will allow. スループット比較部55では、スループットモニタ53のモニタ値と、スループット指定レジスタ54にセットされた値を比較し、モニタ値が小さい場合は、パケット暗号化部51、パケット認証部52をオフすべき旨の信号を制御部58に送り、パケット暗号化認証処理を止める。 The throughput comparing unit 55, and the monitor value of the throughput monitor 53 compares the set in the throughput specified register 54 value, when the monitor value is small, packet encryption unit 51, to the effect that clear the packet authentication part 52 It sends a signal to the controller 58, stopping the packet encrypted authentication process. 再度モニタされるスループット値が大きくなったら、パケット暗号化部51、パケット認証部52をオンすべき旨の信号を送り、パケット暗号化認証処理を再開する。 When it throughput value is large to be monitored again, the packet encryption unit 51 sends a signal to the effect that on a packet authentication unit 52 resumes the packet encrypted authentication process. 【0072】なお、上記ではオン・オフ制御の基準値は1つの値であったが、オフにすべきことを判断する際の基準値aと、オンにすべきことを判断する際の基準値b [0072] In the above, but the reference value of the on-off control was one value, the reference value in determining the reference value a at the time of determining that should be turned off, it should be turned on b
を異なる値にしても良い(オン・オフの切替の頻発を避けるため、基準値bを基準値aより大きい値とする)。 Better be different values ​​(to avoid frequent switching on and off, and the reference value a value greater than the reference value b). 【0073】以上のように本実施形態では、移動計算機自身の転送スループットを動的にモニタし、スループットが一定値以下になった場合には、スループット低下の原因となる暗号化認証機能をオフにすることで、移動環境であっても一定以上の動作状態を保証できるように移動計算機を制御できる。 [0073] In this embodiment as described above, dynamically monitors the transfer throughput of the mobile computer itself, if the throughput is below a predetermined value, turns off the encryption authentication function which causes throughput reduction by, you can control the mobile computer as be a mobile environment can be guaranteed above a certain operating state. 【0074】なお、図7の構成にさらに、前述した図5 [0074] Still further to the configuration of FIG. 7, FIG. 5 described above
のユーザコマンド処理部16および/またはリモートコマンド処理部17を付加しても良い。 It may be added to the user command processor 16 and / or the remote command processing unit 17. 以上の各機能、例えば移動計算機に搭載するパケット暗号化認証部などは、ハードウェアとしてもソフトウェアとして実現可能である。 Each of the above functions, such as packet encryption authentication unit to be mounted on the mobile computer can be implemented as software as hardware. また、上記した各手順あるいは手段をコンピュータに実行させるためのプログラムを記録した機械読取り可能な媒体として実施することもできる。 It can also be implemented as recorded machine-readable medium storing a program for executing each step or means described above to the computer. 【0075】また、本発明は、現在種々提案されている移動通信プロトコル、暗号化通信プロトコル、暗号鍵交換プロトコルに対しても適用可能である。 [0075] Further, the present invention is also applicable to the current various proposed mobile communications protocols, encrypted communication protocols, encryption key exchange protocol. 本発明は、上述した実施の形態に限定されるものではなく、その技術的範囲において種々変形して実施することができる。 The present invention is not intended to be limited to the embodiments described above, it can be modified variously in the scope thereof. 【0076】 【発明の効果】本発明によれば、移動計算機は自装置が現在位置するネットワークのパケット処理装置が持つセキュリティパラメータと自装置に適したセキュリティパラメータとの比較結果に基づいて該パケット処理装置及び自装置に付属するパケット暗号化認証処理の少なくとも一方を選択して暗号化認証処理を行わせるようにしたので、移動先ネットワークのセキュリティポリシーが自装置に適したものであることを判断した場合はパケット暗号化認識手段をオフして移動先ネットワークのパケット処理装置にパケット暗号化認識処理を委ねて、パケット処理効率を高め、同時にネットワーク管理処理を容易にできる。 [0076] According to the present invention, the mobile computer is the packet processing based on a result of comparison between the security parameters suitable for the security parameters and the own device with the packet processing device of the network to which the own apparatus is currently located since so as to perform the encryption authentication processing apparatus and select at least one of the packet encryption authentication processing comes to the own device, it determines that the security policy of the target network is suitable for the own device If you are left off to the target network packet processing device to the packet encryption recognition processing of the packet encryption recognizing means it increases the packet processing efficiency and the network management processing easier at the same time. また、自装置に適したものでないことを判断した場合は、自装置に付属するパケット暗号認識手段をそのまま使用することができる。 When it is determined that it is not be appropriate for its own device, it is possible to accept the packet encryption recognition means associated with its own device. したがって、移動計算機がどのようなネットワークに移動しても、自装置に適したパケット暗号化認識処理を伴う通信を行うことができる。 Thus, moving the mobile computer to any network, it can communicate with a packet encryption recognition processing suitable to the own device.

【図面の簡単な説明】 【図1】本発明の一実施形態に係るシステムの基本構成の一例を示す図【図2】セキュリティパラメータの一例を示す図【図3】本発明の一実施形態に係る移動計算機に付属されるパケット暗号化認証部の一構成例を示す図【図4】本発明の一実施形態に係るシステムの基本構成の他の例を示す図【図5】本発明の一実施形態に係る移動計算機に付属されるパケット暗号化認証部の他の構成例を示す図【図6】本発明の一実施形態に係るシステムの基本構成のさらに他の例を示す図【図7】本発明の一実施形態に係る移動計算機に付属されるパケット暗号化認証部のさらに他の構成例を示す図【図8】移動計算機を含む通信システムの基本構成を説明するための図【図9】移動計算機を含む通信システムの基本構成を説 In one embodiment of the BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1. FIG. 3 illustrates an example of FIG. 2 shows the security parameter indicating an example of a basic configuration of a system according to an embodiment of the invention; FIG invention Figure 5 shows one present invention showing another example of the basic configuration of a system according to an embodiment of a mobile diagram showing a configuration example of a packet encrypted authentication unit that is included with the computer [4] the present invention related diagram showing still another example of the basic configuration of a system according to an embodiment of FIG. 6 present invention illustrating another configuration example of a packet encrypted authentication unit that is included with the mobile computer according to the embodiment 7 Figure [diagram for explaining a basic configuration of a communication system including FIG. 8 mobile computer showing still another configuration example of a packet encrypted authentication unit that is included with the mobile computer according to an embodiment of the present invention 9] Description of the basic configuration of a communication system including a mobile computer 明するための他の図【符号の説明】 1a…ホームネットワーク1b…他部署ネットワーク2…移動計算機4a,4b…ゲートウェイ5…ホームエージェント6…インターネット10…パケット暗号化認証部11…パケット暗号化部12…パケット認証部13…パラメータ保持メモリ14…パラメータ比較部15…コマンド生成部16…ユーザコマンド処理部18…リモートコマンド処理部18…制御部42…セキュリティパラメータデータベース43外部管理モジュール51…パケット暗号化部52…パケット認証部53…スループットモニタ54…スループット指定レジスタ55…スループット比較部56…制御部 Other Figure EXPLANATION OF REFERENCE NUMERALS 1a for bright ... home network 1b ... other departments network 2 ... mobile computer 4a, 4b ... gateway 5 ... home agent 6 ... Internet 10 ... packet encryption authentication section 11 ... packet encryption unit 12 ... packet authentication section 13 ... parameter holding memory 14 ... parameter comparator 15 ... command generator 16 ... user command processor 18 ... remote command processing unit 18 ... controller 42 ... security parameter database 43 external management module 51 ... packet encryption part 52 ... packet authentication section 53 ... throughput monitor 54 ... throughput specified register 55 ... throughput comparing unit 56 ... controller

フロントページの続き (72)発明者 津田 悦幸 神奈川県川崎市幸区小向東芝町1番地 株式会社東芝研究開発センター内(72)発明者 新保 淳 神奈川県川崎市幸区小向東芝町1番地 株式会社東芝研究開発センター内(72)発明者 岡本 利夫 神奈川県川崎市幸区小向東芝町1番地 株式会社東芝研究開発センター内 (56)参考文献 特開 平7−200447(JP,A) 特開 平7−107082(JP,A) 特開 平7−50663(JP,A) 特開 平6−85811(JP,A) 特開 平5−48576(JP,A) 特開 平4−274636(JP,A) 特開 平2−44832(JP,A) 特開 昭61−292436(JP,A) 特開 昭58−213544(JP,A) (58)調査した分野(Int.Cl. 7 ,DB名) H04L 9/12 H04L 9/32 G06F 15/00 330 G06F 13/00 Following (72) inventor Tsuda EtsuMiyuki Kawasaki-shi, Kanagawa-ku, Saiwai Komukaitoshiba-cho, address 1 Corporate Research and Development in the Center (72) inventor Atsushi Shinbo Kawasaki-shi, Kanagawa-ku, Saiwai Komukaitoshiba-cho, the first address of the front page Corporate research and development in the Center (72) inventor Toshio Okamoto Kawasaki-shi, Kanagawa-ku, Saiwai Komukaitoshiba-cho, address 1 Corporate research and development in the Center (56) reference Patent flat 7-200447 (JP, a) JP open flat 7-107082 (JP, A) Patent Rights 7-50663 (JP, A) Patent Rights 6-85811 (JP, A) Patent Rights 5-48576 (JP, A) Patent Rights 4-274636 ( JP, a) JP flat 2-44832 (JP, a) JP Akira 61-292436 (JP, a) JP Akira 58-213544 (JP, a) (58 ) investigated the field (Int.Cl. 7, DB name) H04L 9/12 H04L 9/32 G06F 15/00 330 G06F 13/00

Claims (1)

  1. (57)【特許請求の範囲】 【請求項1】相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機装置であって、 自装置に入出力するパケットを暗号化認証処理する、オン・オフ可能なパケット暗号化認証手段と、 自装置が現在位置するネットワークに、このネットワークに位置する計算機と他のネットワークに位置する計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するパケット処理装置が存在する場合に、このパケット処理装置が持つセキュリティパラメータと、自装置に適したセキュリティパラメータとを比較し、この比較結果に基づいて前記パケット処理装置及び前記パケット暗号化認証手段の少なくとも一方を選択して、暗号化認証処理を行わせる制御 (57) A [Claims 1. A mobile computer device which can perform communication by moving between networks that are interconnected, encrypted authentication packets for input to the own device processing, and on-off possible packet encryption authentication means, the network to which the own apparatus is currently located, computers and other predetermined security packets to be transferred between computers located in the network located on the network when the packet processing device for relaying encrypted authentication process to exist based on the parameter, compares the security parameters of this packet processing device, and a security parameters suitable for the own device, on the basis of the comparison result packet processing device and select at least one of the packet encrypted authentication means, control to perform encryption authentication 手段とを具備したことを特徴とする移動計算機装置。 Mobile computer device being characterized in that and means. 【請求項2】自装置のホームネットワークに位置する計算機と他のネットワークに位置する計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するホームネットワークのパケット処理装置が持つセキュリティパラメータを、前記自装置に適したセキュリティパラメータとすることを特徴とする請求項1に記載の移動計算機装置。 2. A computer and other home networks for relaying encrypted authentication process to the basis a packet transferred between the computer located in the network to a predetermined security parameter located in the home network of the self-device packet the security parameters processor has, the mobile computing device according to claim 1, characterized in that the security parameters suitable to the own device. 【請求項3】相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機装置であって、 自装置に入出力するパケットを暗号化認証処理する、オン・オフ可能なパケット暗号化認証手段と、 自装置が現在位置するネットワークに、このネットワークに位置する計算機と他のネットワークに位置する計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するパケット処理装置が存在する場合に、自装置のパケット転送速度を監視し、この監視結果に基づいて前記パケット処理装置及び前記パケット暗号化認証手段の少なくとも一方を選択して、暗号化認証処理を行わせる制御手段とを具備したことを特徴とする移動計算機装置。 3. A mobile computer device which can perform communication by moving between networks connected to each other, the packet is encrypted authentication processing to output to the own device, on and off possible packet and encrypted authentication means, the network to which the own apparatus is currently located, the encryption and authentication processing based on a packet transferred between the computer located in the computer and other network located to the network at a predetermined security parameter when the packet processing device is present to relay Te monitors packet transfer speed of the host device, the packet processing device and select at least one of the packet enciphered authentication means based on the monitoring result, encrypted authentication mobile computer device being characterized in that and a control unit to perform processing. 【請求項4】自装置がホームネットワーク外に位置することを認識する第1の認識手段と、 自装置が現在位置するネットワークに自装置を暗号化認証処理の対象とし得るパケット処理装置が存在することを認識する第2の認識手段とをさらに具備し、 これら第1及び第2の認識手段により自装置がホームネットワーク外に位置しかつ自装置が位置するネットワークに前記パケット処理装置が存在することが認識された場合に前記制御手段を動作させることを特徴とする請求項1または3に記載の移動計算機装置。 4. A first recognition unit recognizes that the own device is located outside the home network, the device itself is a packet processing device which may be a target of the cryptographic authentication process the own apparatus to a network that is currently located there further comprising a second recognition unit recognizes that the that the packet processing device is present in these by the first and second recognition means the own device is located outside the home network and the network to which the own device is located There the mobile computer device according to claim 1 or 3, characterized in that to operate the control means when it is recognized. 【請求項5】相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機装置であって、 自装置に入出力するパケットを暗号化認証処理する、オン・オフ可能なパケット暗号化認証手段と、 自装置が現在位置するネットワークに、このネットワークに位置する計算機と他のネットワークに位置する計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するパケット処理装置が存在する場合に、外部から入力された特定のコマンドに基づいて前記パケット処理装置及び前記パケット暗号化認証手段の少なくとも一方を選択して、暗号化認証処理を行わせる制御手段とを具備したことを特徴とする移動計算機装置。 5. The mobile computing device capable of performing communication moves between networks connected to each other, the packet is encrypted authentication processing to output to the own device, on and off possible packet and encrypted authentication means, the network to which the own apparatus is currently located, the encryption and authentication processing based on a packet transferred between the computer located in the computer and other network located to the network at a predetermined security parameter when the packet processing device is present to relay Te control, select at least one of the packet processing apparatus and the packet encrypted authentication means based on a particular command input from the outside to perform the cryptographic authentication process mobile computer device being characterized in that and means. 【請求項6】相互に接続されたネットワーク間を移動して通信を行うことが可能な移動計算機装置のパケット暗号化認証方法であって、 前記移動計算機 装置が現在位置するネットワークに、このネットワークに位置する或る第1の計算機と他のネットワークに位置する或る第2の計算機との間で転送されるパケットを所定のセキュリティパラメータに基づいて暗号化認証処理して中継するパケット処理装置が存在する場合に、 前記移動計算機装置が前記或る第1の計算機 6. A packet encryption of interconnected moved to the mobile computer system capable of communicating between network authentication method, the network to which the mobile computing device is currently located, to the network there is a packet processing device for relaying encrypted authentication process to based packets forwarded to a given security parameters between a certain second computer located at a certain first computer and other network located when the mobile computer device the certain first computer
    となるときは、このパケット処理装置が持つセキュリティパラメータと、 前記移動計算機装置に適したセキュリティパラメータとを比較し、この比較結果に基づいて、 When the compares the security parameters of this packet processing device, and a security parameters suitable for the mobile computing device, based on the comparison result,
    前記移動計算機装置に付属する入出力パケットを暗号化認証処理するパケット暗号化認証手段及び前記パケット処理装置の少なくとも一方を選択して、暗号化認証処理を行わせることを特徴とするパケット暗号化認証方法。 The move computing device input and output packets that came with the selected at least one packet encrypted authentication means for encrypting the authentication process and the packet processing device, a packet encrypted authentication, characterized in that to perform the cryptographic authentication process Method. 【請求項7】前記セキュリティパラメータの比較結果が一致である場合に前記パケット暗号化認証手段をオフにして前記パケット処理装置に前記暗号化認証処理を行わせ、不一致である場合に前記パケット暗号化認証手段をオンにして前記暗号化認証処理を行わせることを特徴とする請求項6に記載のパケット暗号化認証方法。 Wherein said comparison of the security parameters to the packet encrypted authentication unit off when a match to perform the encrypted authentication processing in the packet processing device, wherein the packet encryption when a disagreement packet encryption authentication method according to claim 6, characterized in that the authentication means is turned on to perform the encryption authentication process.
JP27355796A 1996-10-16 1996-10-16 The mobile computer device and the packet encrypted authentication method Expired - Fee Related JP3492865B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP27355796A JP3492865B2 (en) 1996-10-16 1996-10-16 The mobile computer device and the packet encrypted authentication method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP27355796A JP3492865B2 (en) 1996-10-16 1996-10-16 The mobile computer device and the packet encrypted authentication method
US08/951,297 US6170057B1 (en) 1996-10-16 1997-10-16 Mobile computer and method of packet encryption and authentication in mobile computing based on security policy of visited network

Publications (2)

Publication Number Publication Date
JPH10126405A JPH10126405A (en) 1998-05-15
JP3492865B2 true JP3492865B2 (en) 2004-02-03

Family

ID=17529474

Family Applications (1)

Application Number Title Priority Date Filing Date
JP27355796A Expired - Fee Related JP3492865B2 (en) 1996-10-16 1996-10-16 The mobile computer device and the packet encrypted authentication method

Country Status (2)

Country Link
US (1) US6170057B1 (en)
JP (1) JP3492865B2 (en)

Families Citing this family (76)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040264402A9 (en) * 1995-06-01 2004-12-30 Padcom. Inc. Port routing functionality
US6418324B1 (en) * 1995-06-01 2002-07-09 Padcom, Incorporated Apparatus and method for transparent wireless communication between a remote device and host system
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
FI105753B (en) * 1997-12-31 2000-09-29 Ssh Comm Security Oy Package authentication method changes the network address and protocol transformation in the presence of
US6219694B1 (en) * 1998-05-29 2001-04-17 Research In Motion Limited System and method for pushing information from a host system to a mobile data communication device having a shared electronic address
US9374435B2 (en) 1998-05-29 2016-06-21 Blackberry Limited System and method for using trigger events and a redirector flag to redirect messages
US7266365B2 (en) * 1998-05-29 2007-09-04 Research In Motion Limited System and method for delayed transmission of bundled command messages
US6438585B2 (en) * 1998-05-29 2002-08-20 Research In Motion Limited System and method for redirecting message attachments between a host system and a mobile data communication device
US8516055B2 (en) * 1998-05-29 2013-08-20 Research In Motion Limited System and method for pushing information from a host system to a mobile data communication device in a wireless data network
US20040024824A1 (en) * 2000-04-10 2004-02-05 Ferguson Tabitha K System and method for bundling information
US20020049818A1 (en) * 1998-05-29 2002-04-25 Gilhuly Barry J. System and method for pushing encrypted information between a host system and a mobile data communication device
US6779019B1 (en) * 1998-05-29 2004-08-17 Research In Motion Limited System and method for pushing information from a host system to a mobile data communication device
US7209949B2 (en) 1998-05-29 2007-04-24 Research In Motion Limited System and method for synchronizing information between a host system and a mobile data communication device
US6496862B1 (en) * 1998-08-25 2002-12-17 Mitsubishi Electric Research Laboratories, Inc. Remote monitoring and control of devices connected to an IEEE 1394 bus via a gateway device
US6546425B1 (en) 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7644171B2 (en) * 2001-09-12 2010-01-05 Netmotion Wireless, Inc. Mobile networking system and method using IPv4 and IPv6
US8060656B2 (en) 1998-10-09 2011-11-15 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8078727B2 (en) * 1998-10-09 2011-12-13 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7293107B1 (en) * 1998-10-09 2007-11-06 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7778260B2 (en) * 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
JP2004509539A (en) * 2000-09-12 2004-03-25 ネットモーション ワイヤレス インコーポレイテッド Method and apparatus for providing a mobile other intermittent connectivity in a computer environment
US7882247B2 (en) 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US7136645B2 (en) * 1998-10-09 2006-11-14 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US6842462B1 (en) * 1998-12-18 2005-01-11 Lucent Technologies Inc. Wireless access of packet based networks
US7174018B1 (en) * 1999-06-24 2007-02-06 Nortel Networks Limited Security framework for an IP mobility system using variable-based security associations and broker redirection
JP2001242786A (en) * 1999-12-20 2001-09-07 Fuji Photo Film Co Ltd Device and method for distribution, and recording medium
JP3414352B2 (en) * 2000-02-03 2003-06-09 日本電気株式会社 Wireless terminal, an information processing system and an external processing terminal
US7444368B1 (en) * 2000-02-29 2008-10-28 Microsoft Corporation Methods and systems for selecting methodology for authenticating computer systems on a per computer system or per user basis
JP3730480B2 (en) * 2000-05-23 2006-01-05 株式会社東芝 Gateway device
EP1334587A1 (en) * 2000-08-31 2003-08-13 Padcom Inc. Method and apparatus for routing data over multiple wireless networks
WO2002052798A2 (en) 2000-12-22 2002-07-04 Research In Motion Limited Wireless router system and method
CA2368404C (en) * 2001-01-18 2005-08-09 Research In Motion Limited Unified messaging system and method
CA2372647C (en) * 2001-02-20 2010-05-04 Research In Motion Limited System and method for administrating a wireless communication network
US7295836B2 (en) * 2001-03-09 2007-11-13 Research In Motion Limited Advanced voice and data operations in a mobile data communication device
CA2376918C (en) * 2001-03-14 2007-10-23 Research In Motion Limited Scalable and secure messaging system for a wireless network
FI110464B (en) * 2001-04-26 2003-01-31 Nokia Corp IP security and mobile network connections
US20050198379A1 (en) * 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US7263063B2 (en) 2001-07-06 2007-08-28 Sri International Per hop behavior for differentiated services in mobile ad hoc wireless networks
US7006437B2 (en) * 2001-07-06 2006-02-28 Sri International Scheduling mechanisms for use in mobile ad hoc wireless networks for achieving a differentiated services per-hop behavior
FI116025B (en) * 2001-09-28 2005-08-31 Netseal Mobility Technologies The method and the network to ensure the safe transmission of messages,
CA2410118C (en) 2001-10-26 2007-12-18 Research In Motion Limited System and method for controlling configuration settings for mobile communication devices and services
US7233960B1 (en) * 2001-10-31 2007-06-19 Numoda Corporation System and method for mobile wireless electronic data capture and distribution of a merchant card-processing application
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
CA2469513C (en) 2001-12-07 2007-08-21 Research In Motion Limited System and method of managing information distribution to mobile stations
US7984157B2 (en) * 2002-02-26 2011-07-19 Citrix Systems, Inc. Persistent and reliable session securely traversing network components using an encapsulating protocol
US7661129B2 (en) * 2002-02-26 2010-02-09 Citrix Systems, Inc. Secure traversal of network components
US6839338B1 (en) * 2002-03-20 2005-01-04 Utstarcom Incorporated Method to provide dynamic internet protocol security policy service
JP3445986B1 (en) * 2002-09-27 2003-09-16 松下電器産業株式会社 Server connected to the Internet, the device and the communication system
US20040170181A1 (en) * 2003-02-27 2004-09-02 Padcom, Inc. Prioritized alternate port routing
US8468330B1 (en) 2003-06-30 2013-06-18 Oracle International Corporation Methods, systems, and data structures for loading and authenticating a module
US7516333B2 (en) * 2003-08-01 2009-04-07 Mamoon Yunis Hybrid Java-C network appliance
US7562146B2 (en) * 2003-10-10 2009-07-14 Citrix Systems, Inc. Encapsulating protocol for session persistence and reliability
US9614772B1 (en) 2003-10-20 2017-04-04 F5 Networks, Inc. System and method for directing network traffic in tunneling applications
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US8074267B1 (en) * 2003-12-18 2011-12-06 Symantec Corporation Computer communications monitor
US7941827B2 (en) * 2004-02-26 2011-05-10 Packetmotion, Inc. Monitoring network traffic by using a monitor device
US7406595B1 (en) 2004-05-05 2008-07-29 The United States Of America As Represented By The Director, National Security Agency Method of packet encryption that allows for pipelining
US7540013B2 (en) * 2004-06-07 2009-05-26 Check Point Software Technologies, Inc. System and methodology for protecting new computers by applying a preconfigured security update policy
US7542567B2 (en) * 2004-06-10 2009-06-02 Freescale Semiconductor, Inc. Method and apparatus for providing security in a data processing system
JP4334425B2 (en) * 2004-07-09 2009-09-30 富士通株式会社 Home agent
US9032192B2 (en) * 2004-10-28 2015-05-12 Broadcom Corporation Method and system for policy based authentication
US8117452B2 (en) * 2004-11-03 2012-02-14 Cisco Technology, Inc. System and method for establishing a secure association between a dedicated appliance and a computing platform
US7594106B2 (en) * 2005-01-28 2009-09-22 Control4 Corporation Method and apparatus for device detection and multi-mode security in a control network
EP2565797A1 (en) 2005-04-18 2013-03-06 Research In Motion Limited Method For Providing Wireless Application Privilege Management
EP1744515B1 (en) * 2005-07-12 2011-07-13 Fujitsu Siemens Computers, Inc. Method, cluster system and computer-readable medium for distributing data packets
US10275723B2 (en) 2005-09-14 2019-04-30 Oracle International Corporation Policy enforcement via attestations
US10063523B2 (en) * 2005-09-14 2018-08-28 Oracle International Corporation Crafted identities
US7689205B2 (en) * 2005-12-23 2010-03-30 Morgan Stanley Systems and methods for configuration of mobile computing devices
US8965978B2 (en) * 2006-03-31 2015-02-24 Alcatel Lucent Methods and devices for maintaining sessions based on presence status information
US8179872B2 (en) 2007-05-09 2012-05-15 Research In Motion Limited Wireless router system and method
US7895463B2 (en) * 2007-08-28 2011-02-22 Cisco Technology, Inc. Redundant application network appliances using a low latency lossless interconnect link
US9832069B1 (en) 2008-05-30 2017-11-28 F5 Networks, Inc. Persistence based on server response in an IP multimedia subsystem (IMS)
US9408078B2 (en) * 2009-12-18 2016-08-02 Nokia Technologies Oy IP mobility security control
JP5602124B2 (en) * 2011-12-29 2014-10-08 株式会社大和総研ビジネス・イノベーション Network system using the smart phone
KR20140043000A (en) * 2012-09-28 2014-04-08 한국전자통신연구원 I/o supporting apparatus and method for an external device using a mobile phone

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9015799D0 (en) * 1990-07-18 1991-06-12 Plessey Telecomm A data communication system
US5444782A (en) * 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US5559883A (en) * 1993-08-19 1996-09-24 Chipcom Corporation Method and apparatus for secure data packet bus communication
NL9301841A (en) * 1993-10-25 1995-05-16 Nederland Ptt An apparatus for processing data packets.
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5680461A (en) * 1995-10-26 1997-10-21 Sun Microsystems, Inc. Secure network protocol system and method
WO1997026734A1 (en) * 1996-01-16 1997-07-24 Raptor Systems, Inc. Transferring encrypted packets over a public network
US5812671A (en) * 1996-07-17 1998-09-22 Xante Corporation Cryptographic communication system

Also Published As

Publication number Publication date
US6170057B1 (en) 2001-01-02
JPH10126405A (en) 1998-05-15

Similar Documents

Publication Publication Date Title
US6507908B1 (en) Secure communication with mobile hosts
US8327437B2 (en) Securing network traffic by distributing policies in a hierarchy over secure tunnels
US8769265B1 (en) Method and system for providing persistence in a secure network access
US8200818B2 (en) System providing internet access management with router-based policy enforcement
US7958226B2 (en) Identifying a computer device
US7821926B2 (en) Generalized policy server
Ioannidis et al. Implementing a distributed firewall
US7036010B2 (en) Method and apparatus for a secure communications session with a remote system via an access-controlling intermediate system
JP4727126B2 (en) Providing secure network access for short-range wireless computing device
Blaze et al. Trust management for IPsec
US6163843A (en) Packet inspection device, mobile computer and packet transfer method in mobile computing with improved mobile computer authenticity check scheme
Myles et al. A mobile host protocol supporting route optimization and authentication
US6697857B1 (en) Centralized deployment of IPSec policy information
USRE46439E1 (en) Distributed administration of access to information and interface for same
KR100261379B1 (en) Lightweight secure communication tunnelling over the internet
US7272625B1 (en) Generalized policy server
EP1466435B1 (en) Secure transport for mobile communication network
CN101120569B (en) Remote access system and method for user to remotely access terminal equipment from subscriber terminal
US6212636B1 (en) Method for establishing trust in a computer network via association
US5822434A (en) Scheme to allow two computers on a network to upgrade from a non-secured to a secured session
JP2812312B2 (en) Encryption system
US6978367B1 (en) Selective data encryption using style sheet processing for decryption by a client proxy
US6226751B1 (en) Method and apparatus for configuring a virtual private network
US7316028B2 (en) Method and system for transmitting information across a firewall
US20030131263A1 (en) Methods and systems for firewalling virtual private networks

Legal Events

Date Code Title Description
FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071114

Year of fee payment: 4

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081114

Year of fee payment: 5

FPAY Renewal fee payment (prs date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091114

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees